一項分析前 54 個開源項目的研究發現，這些工具中的安全漏洞在 2019 年翻了一番，從 2018 年的 421 個 bug 到去年的 968 個。根據 RiskSense 今天發布的 "開源的黑暗現實 "報告，該公司在 2015 年至 2020 年 3 月期間發現流行的開源項目中報告了 2694 個 bug。

　　該報告并不包括 Linux、WordPress、Drupal 等超級流行的免費工具項目，因為這些項目經常受到監控，安全 bug 也會成為新聞，確保這些安全問題大多能相當快地得到修補。

　　相反，RiskSense 觀察了其他流行的開源項目，這些項目并不那么知名，但被技術和軟件社區廣泛采用。其中包括 Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet 等工具。

　　RiskSense 表示，他們在研究過程中發現的一個主要問題是，他們分析的大量安全漏洞在公開披露后許多周后才被報告到國家漏洞數據庫（NVD）。該公司表示，這 54 個項目中發現的 bug 通常平均需要 54 天左右時間才會被報告給 NVD，其中 PostgreSQL 的報告延遲時間達到了 8 個月。由于網絡安全和 IT 軟件公司使用 NVD 數據庫來創建和發送安全警報，報告延遲導致使用這些開源項目的公司仍然暴露在攻擊面前。

　　RiskSense 表示，自 2015 年以來，在其分析的所有 54 個項目中，Jenkins 自動化服務器和 MySQL 數據庫服務器的武器化漏洞最多，均為 15 個。雖然其他開源項目的 bug 較少，但這些 bug 有時更容易被武器化，例如 Vagrant 虛擬化軟件和 Alfresco 內容管理系統當中的 bug。

　　RiskSense 認為，現在不僅需要改進開源項目內部處理安全漏洞的方式，而且需要整個行業進行改進，因為開源項目正在以歷史性的速度產生新漏洞。

總結

以上是生活随笔為你收集整理的2019年热门开源项目当中的漏洞增加了一倍的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。